+7 (707) 062 2121
Info@windmark.kz
|
Аудит информационной безопасности проводится для получения независимых и объективных данных о текущей защищенности информационной инфраструктуры и выявления существующих уязвимостей.
Основные задачи аудита информационной безопасности:
Выявление значимых угроз информационной безопасности и путей их реализации- Анализ и оценка рисков, связанных с угрозами информационной безопасности
- Разработка предложений и рекомендаций по укреплению защищенности информационной инфраструктуры
- Выявление и ранжирование по степени опасности существующих уязвимостей технологического и организационного характера в информационной системе
Основные задачи аудита информационной безопасности:
- Выявление значимых угроз информационной безопасности и путей их реализации
- Анализ и оценка рисков, связанных с угрозами информационной безопасности
- Разработка предложений и рекомендаций по укреплению защищенности информационной инфраструктуры
- Выявление и ранжирование по степени опасности существующих уязвимостей технологического и организационного характера в информационной системе
По результатам аудита информационной безопасности Заказчик получает возможность:
Укрепления защищенности информационной инфраструктуры путем устранения выявленных уязвимостей и выполнения рекомендаций аудита
Обоснования необходимости выделения ресурсов и проведения технических и организационных мероприятий для укрепления безопасности
Ясного и обоснованного планирования стратегии развития информационной безопасности
Снижения бизнес-рисков, связанных с информационной безопасностью
По результатам аудита информационной безопасности Заказчик получает возможность:
Укрепления защищенности информационной инфраструктуры путем устранения выявленных уязвимостей и выполнения рекомендаций аудита
Обоснования необходимости выделения ресурсов и проведения технических и организационных мероприятий для укрепления безопасности
Ясного и обоснованного планирования стратегии развития информационной безопасности
Снижения бизнес-рисков, связанных с информационной безопасностью
Методика проведения аудита информационной безопасности
По способу проведения аудит информационной безопасности можно разбить на две части:
1
Процедурный аудит
В рамках которого происходит сбор и анализ нормативной документации, анализ организационных мероприятий, правил и процедур обеспечения информационной безопасности. Основные методы сбора информации – интервьюирование сотрудников и анализ документов Заказчика.
По результатам аудита делается заключение о соответствии системы информационной безопасности Заказчика требованиям стандарта ISO 27001.
По результатам аудита делается заключение о соответствии системы информационной безопасности Заказчика требованиям стандарта ISO 27001.
2
Инструментальный аудит
В рамках которого проводятся тесты на проникновение и выявляются существующие уязвимости информационной инфраструктуры. Инструментальный аудит моделирует действия злоумышленника из сети Интернет и инсайдера, подключенного к внутренней сети Заказчика. В ходе инструментального аудита применяются различные технологии и программы, в том числе и те, которые используются реальными злоумышленниками для получения доступа к данным и контроля над информационными системами.
Оригинальная методика проведения инструментального аудита разработана на основе рекомендаций Американского Национального Института Стандартизации "NIST SP 800-42 - Guideline on Network Security Testing" и открытых методик "OSSTMM – The Open Source Security Methodology Manual" и "Information Systems Security Assessment Framework - ISSAF".
Оригинальная методика проведения инструментального аудита разработана на основе рекомендаций Американского Национального Института Стандартизации "NIST SP 800-42 - Guideline on Network Security Testing" и открытых методик "OSSTMM – The Open Source Security Methodology Manual" и "Information Systems Security Assessment Framework - ISSAF".
Методика проведения аудита информационной безопасности
По способу проведения аудит информационной безопасности можно разбить на две части:
1
Процедурный аудит
В рамках которого происходит сбор и анализ нормативной документации, анализ организационных мероприятий, правил и процедур обеспечения информационной безопасности. Основные методы сбора информации – интервьюирование сотрудников и анализ документов Заказчика.
По результатам аудита делается заключение о соответствии системы информационной безопасности Заказчика требованиям стандарта ISO 27001.
По результатам аудита делается заключение о соответствии системы информационной безопасности Заказчика требованиям стандарта ISO 27001.
2
Инструментальный аудит
В рамках которого проводятся тесты на проникновение и выявляются существующие уязвимости информационной инфраструктуры. Инструментальный аудит моделирует действия злоумышленника из сети Интернет и инсайдера, подключенного к внутренней сети Заказчика. В ходе инструментального аудита применяются различные технологии и программы, в том числе и те, которые используются реальными злоумышленниками для получения доступа к данным и контроля над информационными системами.
Оригинальная методика проведения инструментального аудита разработана на основе рекомендаций Американского Национального Института Стандартизации "NIST SP 800-42 - Guideline on Network Security Testing" и открытых методик "OSSTMM – The Open Source Security Methodology Manual" и "Information Systems Security Assessment Framework - ISSAF".
Оригинальная методика проведения инструментального аудита разработана на основе рекомендаций Американского Национального Института Стандартизации "NIST SP 800-42 - Guideline on Network Security Testing" и открытых методик "OSSTMM – The Open Source Security Methodology Manual" и "Information Systems Security Assessment Framework - ISSAF".